Ormai da qualche anno per gli operatori IT si è iniziato a ragionare di stabilire un quadro normativo comune a livello europeo. Per il provider cloud diventa quindi di vitale importanza rimanere aggiornato in materia per restare competitivo e non contravvenire a leggi e regolamenti europei. Il punto di riferimento in materia si chiama CISPE (qui il sito ufficiale), l’associazione che rappresenta tutti i fornitori di infrastrutture cloud in Europa. Al suo interno, ben 11 sono realtà italiane. Il CISPE fornisce orientamento nelle legislazioni europee e tramite un codice di condotta che uniforma i comportamenti dei vari provider e li aiuta ad autoregolamentarsi.

CISPE e GDPR

Il codice del CISPE è ovviamente legato al GDPR e definisce le linee guida per gestire e proteggere i dati personali che transitano nel cloud. Ulteriori linee guida riguardano i fornitori IaaS, ovvero infrastrutture as a service, dove il cliente riversa di fatto tutta la parte tecnologica e computazionale della propria impresa.

Il codice di condotta CISPE anticipa il GDPR e lo integra, definendo i seguenti parametri:

  • Un framework per conformarsi al GDPR in maniera uniforme
  • Esclude il riutilizzo dei dati dei clienti
  • L’elaborazione e archiviazione dei dati deve avvenire in data center situati esclusivamente in territorio UE
  • Identifica i sistemi di infrastruttura dati più adeguati per ogni esigenza di elaborazione
  • Aiuta il cliente finale a riprendere il controllo dei propri dati

CISPE e SWIPO

Lo SWIPO è un altro codice di condotta del CISPE che norma le procedure per migrare i dati da un fornitore all’altro, come oggi avviene ad esempio con la portabilità del vostro numero telefonico quando cambiate gestore. Difatti SWIPO significa SWitching and POrting, riferito al dato del cliente che passa da un fornitore di cloud ad un altro.

Lo scopo di SWIPO è quello di applicare l’art. 6 del GDPR, legato alla libera circolazione dei dati non personali all’interno dell’Unione Europea. Ciò apre di fatto il mercato e garantisce una concorrenza più trasparente e con maggiori garanzie per il cliente finale. L’adesione al codice SWIPO ha ottenuto un’accoglienza più cauta, perché implica che ogni provider metta mano al proprio codice e acquisisca strumenti che diano la possibilità reale ai propri clienti finali di spostarsi da un provider all’altro.

La difficoltà è anzitutto tecnica: molte resistenze derivano dal fatto che i provider dovrebbero rendere evidenti alla concorrenza alcuni aspetti caratteristici della propria infrastruttura. Un altro effetto secondario non di poco conto sarebbero potenziali distorsioni del mercato ad opera di coloro che già oggi lo dominano.

Il progetto GAIA-X e il cloud europeo

E’ innegabile che l’Europa sia indietro nella creazione di infrastrutture proprietarie e a tutt’oggi si stia appoggiando a società extra-europee (Amazon e Google, per fare due nomi noti). Questo crea una dipendenza tecnologica da altre nazioni, generando un problema politico e di sicurezza e ponendo l’Europa in una posizione di debolezza. Per questo nel 2019 nasce la necessità avere un network europeo del cloud computing.

L’obiettivo è quello di conquistare indipendenza rispetto ai players americani che attualmente dominano il mercato. Tra i membri fondatori di GAIA-X c’è anche il CISPE, per portare già nelle fondamenta del network europeo sul cloud i concetti di protezione e di reversibilità dei dati.